Pasos a seguir para realizar un análisis de impacto en nuestro negocio
¿Merece la pena realizar un análisis de lo que ocurriría en tu negocio en caso de sufrir un incidente de seguridad grave?, puede que nos hayamos preguntado muchas veces está cuestión. La respuesta es bien sencilla, si te preocupa que tu negocio continúe funcionando y no desaparezca o se paralice durante un largo periodo de tiempo, entonces sí merece la pena llevar a cabo un análisis de impacto sobre el negocio. Sin esta información, no seremos capaces de implantar una estrategia de continuidad eficiente.
Tal y como hemos indicado, el análisis de impacto en el negocio (también conocido como BIA, por sus siglas en inglés Business Impact Analysis) tiene como principal objetivo identificar las necesidades del negocio en términos de recuperación. Sobre todo aquellas que consideramos como indispensables o “servicios mínimos” para el funcionamiento de la organización. Así pues, si realizamos este análisis, podremos contrastar las necesidades a las que nos hemos referido con la capacidad de recuperación de nuestros sistemas, lo que nos permitirá identificar las diferencias existentes y posteriormente, definir las estrategias de recuperación.
En el desarrollo del análisis de impacto en el negocio determinaremos cuales son los aspectos más importantes que pueden afectar a nuestro negocio y que pueden influir en la prestación de servicios a nuestros clientes. Asimismo, identificaremos los procesos o actividades críticas de negocio o BCA (Business Critical Activities).
Cuestiones preliminares
Un aspecto importante a tener en cuenta en la elaboración de un BIA son los tiempos. En este sentido, cobran especial importancia los siguientes:
- RTO (Recovery Time Objective): Tiempo de recuperación de las actividades que hemos identificado bajo unas condiciones mínimas aceptables. Por ejemplo, supongamos que el Responsable del Departamento de Administración nos indica que, en caso de que fallara la plataforma que soporta las aplicaciones para la generación y emisión de la nómina, se deberían recuperar el servicio en un plazo máximo de 24h. En este caso, estableceríamos que el RTO asociado a dicho proceso es de 24h.
- MTD (Maximum Tolerable Downtime): Tiempo máximo tolerable de caída el cual nos determina el tiempo que puede estar caído un proceso antes de que se produzcan efectos desastrosos en la compañía y repercuta en el negocio. Volviendo al caso anterior, supongamos que el proceso de gestión de nóminas no debe estar interrumpido por un periodo superior a 48h. En este caso, estableceríamos que el MTD asociado a dicho proceso es de 48h.
- RPO (Recovery Point Objective): El grado de dependencia de la actualidad de los datos determina la cantidad máxima de información que se podría perder sin llegar a tener consecuencias inaceptables, formando parte de las políticas de respaldo definidas por la organización. En este sentido, imaginemos que el Responsable del Departamento de Administración nos indica que podrían tolerar una pérdida de información siempre y cuando no se perdieran los datos generados en más de un día completo. Por lo tanto, estableceríamos que el RPO es de 24h.
¿Por dónde empezamos?
Para llevar a cabo el BIA mantendremos reuniones con los departamentos dentro del alcance de nuestro estudio para recalar la información necesaria. El personal entrevistado (responsables de departamento, coordinadores, personal técnico, etc.) nos facilitará la información de los procesos, y requisitos de recuperación así como las posibles dependencias con los proveedores, clientes, etc. Deberemos considerar todas estas cuestiones y dejar constancia de ello en el BIA.
Resultado
Como resultado de los trabajos de análisis dispondremos de un conjunto de procesos o actividades para los cuales hemos definido el RTO, MTD y RPO. Con esta información podemos crear la lista ordenada por prioridad y obtener las actividades críticas y si profundizamos en el análisis podemos deducir cuales son los activos críticos de TI.
Como ejemplo de los tiempos de recuperación en un BIA, podemos observar en la siguiente tabla su implicación dependiendo del proceso de negocio, en este caso dentro del departamento de Administración:
En la tabla anterior, el proceso de Gestión de nóminas nos viene a decir que posee una criticidad alta, proyectándose en el periodo de final de mes, para el pago de las nóminas a los empleados. Determinamos un RTO de 24 horas como tiempo de recuperación para restablecer el servicio, y un RPO de 24 horas como tiempo de la posible pérdida de la información debido a la caída del servicio. Por último un MTD de 48 horas como tiempo máximo de parada del servicio sin superarlo ya que conllevaría graves riesgos a la organización.
La elaboración y puesta en marcha de un análisis de impacto o BIA para nuestro negocio, no es más, que conocer las necesidades de negocio expresándolas en términos de recuperación y, atendiendo a los resultados el estudio, implantar planes de recuperación que permitan restablecer los servicios o infraestructuras, etc., cubriendo las necesidades y el cumplimiento de los objetivos de negocio marcados por la compañía.
¿Qué hacemos con la información del BIA?
El BIA es una de las partes fundamentales en el plan de continuidad de negocio.
La información que obtenida en la elaboración del BIA se validará con los distintos departamentos involucrados. Adicionalmente, contrastaremos los requisitos de recuperación con la capacidad de recuperación de los sistemas que intervienen en la prestación de servicios. En última instancia, presentaremos las conclusiones a la Dirección para hacerlos partícipes y así obtener su respaldo de cara a afrontar nuevos proyectos para mejorar la capacidad de recuperación actual.
Principales beneficios obtenidos al desarrollar un análisis de impacto sobre el negocio
- Se delimitan los procesos o actividades críticas dentro de la organización que afectan a nuestro negocio pudiendo descubrir actividades críticas que a priori no lo parecían.
- Permite identificar vulnerabilidades de una organización en materia de continuidad de negocio.
- En caso de disponer de planes de recuperación permitirá verificar si estos cubren las necesidades del negocio.
- Propicia la implicación de un mayor número de áreas de la organización a la hora de implantar planes de continuidad, no solo al personal responsable de llevar a término este tipo de proyectos.
- Reducción de costes ante posibles interrupciones del negocio.
- Aporta información de gran valor a la hora de priorizar el desarrollo de otros proyectos en materia de continuidad de negocio.
- Un mayor conocimiento de los procesos de negocio, contribuirá favorablemente a la mejora de la competitividad y seguridad en el mercado.
- La información obtenida en el desarrollo del BIA es una base fundamental para implantar estrategias de recuperación eficientes.
Tal y como podemos observar, llevar a cabo un análisis de impacto sobre el negocio puede aportar múltiples beneficios para nuestra organización. Con la ayuda de este artículo, animamos a los lectores a desarrollar un BIA en sus organizaciones y así mejorar la continuidad de sus operaciones.
En última instancia, sólo nos queda recordar a nuestros lectores que disponen de más información acerca del Plan de Contingencia y Continuidad de Negocio en la página web de INCIBE.